Quali sono le differenze tra il Penetration Test (Pen Test) e il Vulnerability Assessment? Entrambi rientrano nel grande tema della cybersecurity, eppure, nonostante i punti in comune, gli obiettivi e le modalità sono diversi

 

Penetration Test e Vulnerabiliy Assessment: due aspetti della cybersecurity

Molti specialisti IT conoscono già i termini Vulnerability Assessment e Penetration Test, temi entrambi affrontati singolarmente in due precedenti articoli.

Eppure, anche nel mondo IT, esiste ancora molta confusione tra le due attività.

Nel seguente post cercheremo quindi di spiegarvi le differenze principali tra Vulnerability Assessment e Penetration Test (chiamato anche Pen Test), quali sono i vantaggi e i benefici che comportano per un’azienda e perché sono entrambi fondamentali per garantire la sicurezza dei sistemi informatici.

 

Iniziamo con una breve definizione che già circoscrive in sintesi le differenze tra Penetration Test e Vulnerability Assessment.

Il Vulnerability Assessment è un vero e proprio check-up dei sistemi informatici, una sorta di scanning che mira a far emergere possibili vulnerabilità dell’infrastruttura e della rete IT.

Con il Pen Test, invece, si conosce già l’obiettivo potenzialmente vulnerabile da andare a colpire: si tratta perciò di una simulazione di attacco verso quel determinato obiettivo.

Lo scopo del Vulnerability Assessment è quindi quello di identificare quali parti del sistema risultano deboli a livello di sicurezza.

Il Penetration Test, invece, è una dimostrazione pratica dell’esistenza e delle conseguenze di una particolare vulnerabilità.

 

Nell’immagine che segue, tratta dal sito di Science Soft, si illustrano efficacemente queste peculiarità.

penetration_testing_vs_vulnerability_assessment-science-soft

 

Ora che abbiamo sintetizzato in cosa differisce un Penetration Test da una scansione delle vulnerabilità, andiamo ad approfondire l’argomento per delineare ulteriori elementi distintivi e i punti di incontro.

Un’attività di Vulnerability Assessment si conclude normalmente con un report che elenca i possibili punti deboli di un sistema difensivo. Il report dovrebbe quindi riportare:

  • le vulnerabilità rilevate
  • la gravità delle vulnerabilità sulla base delle esigenze e delle criticità specifiche dell’azienda

 

Da un lato è importante comprendere che un solo VA non basta a un’azienda per garantire la sicurezza dei suoi sistemi informatici. Il VA può essere paragonato a un esame del sangue: se si rilevano anomalie, è importante procedere con una cura (quindi un Remediation Plan) e ripetere gli esami per verificare l’efficacia della cura stessa.

Dall’altro dev’essere chiaro che i risultati che un Vulnesability Assessment fa emergere non sono di per sé verificati. Alcuni di questi, perciò, potrebbero equivalere a dei falsi positivi.

Il Penetration Test, come già accennato, ha già valutato specifici obiettivi o scenari di attacco. Lo scopo è quello di testare l’efficacia delle difese che un hacker potrebbe voler bypassare: un Pen Tester è quindi una sorta di “hacker buono” che esegue un attacco a scopo dimostrativo, per verificare che una vulnerabilità sia effettivamente autentica e quali conseguenze comporta.

 

 

Come sviluppare una politica di sicurezza aziendale

Scarica gratuitamente l’infografica!

Cosa scegliere per la propria azienda?

Ecco cosa deve considerare un’azienda nel decidere se eseguire un’attività di Penetration Test e/o di Vulnerability Assessment

  • Ampiezza e profondità
    Penetration Test e Vulnerability Assessment si differenziano per la copertura della vulnerabiltà: il primo ha un approccio alla profondità perché mira proprio ad approfondire una vulnerabilità specifica. Il secondo, invece, mira a scoprire quanti più possibili punti di vulnerabilità attraverso un metodo, quindi, orientato all’ampiezza.
  • Automazione
    Un’altra differenza tra Vulnerability Assessment e Penetration Test è dovuta agli strumenti e alle modalità con cui vengono eseguiti. Il Vulnerability Assessment è un’attività sostanzialmente automatizzata, mentre il Pen Test combina automazione e tecniche manuali, proprio per il suo mirare a un obiettivo specifico: l’abilità del Penetration Tester risulta infatti fondamentale per l’esito del test stesso.
  • Rischio
    Abbiamo detto che il Vulnerability Assessment è una scansione dei sistemi finalizzata a rilevarne i possibili punti deboli. Di per sé, quindi, non implica nessun rischio per l’azienda.
    Il Pen Test, al contrario, in quanto simulazione di attacco, potrebbe colpire la funzionalità dei sistemi: questo tipo di attività si addice perciò maggiormente alle aziende più “mature” a livello di sicurezza informatica, quindi quando si ritiene che le difese del bersaglio siano forti.
    La valutazione della vulnerabilità, d’altra parte, è particolarmente adatta in situazioni in cui sono noti problemi di sicurezza o quando un’organizzazione sta iniziando a impostare la sua strategia di protezione. A ogni modo, il Vulnerability Assessment è una metodologia ideale per le tutte le aziende, in quanto è essenziale mantenere il proprio livello di sicurezza alto.
  • Frequenza
    Proprio per la natura dei rispettivi obiettivi, la frequenza con la quale eseguire le attività di Vulnerability Assessment e di Penetration Test non sono le medesime. La scansione delle vulnerabilità è un’attività che va ripetuta nel tempo con cadenza regolare, idealmente una volta al mese, per verificare lo stato di salute dei nostri sistemi di sicurezza.
    Il Penetration Test, al contrario, è qualcosa che si svolge ad hoc, sulla base di particolari esigenze.

 

Arrivati a questo punto, quindi, cosa deve scegliere un’azienda per aumentare il livello di sicurezza dei sistemi? La risposta è semplice: entrambi.

Sia il Vulnerability Assessment sia il Penetration Test, infatti, devono essere inseriti in una politica più ampia di sicurezza aziendale. Da soli, infatti, non bastano: nelle aziende deve instaurarsi una vera e propria cultura della sicurezza, che si traduca in un progetto integrato, nel quale comprendere attività di prevenzione delle minacce come il Vulnerability Assessment e il Penetration Test.

 

Share This